CN105744524A - 一种wia-pa工业无线网络中移动设备入网认证机制 - Google Patents

Abstract

本发明涉及一种WIA?PA工业无线网络中移动设备入网认证机制，属于工业无线网络技术领域。在该认证过程中涉及的WIA?PA工业无线网络设备包括：网关设备、路由设备、现场设备和移动设备；该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证；移动设备第一次入网认证包含Ticket_net和Ticket_mobile的处理和入网认证，移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。该机制提升了已认证移动设备再入网认证的有效性，减少了移动设备再入网认证的报文交互次数及网络资源开销；移动设备再入网认证的认证码由静态变为用户可选的动态变化模式，对可能的重放攻击等进行有效防御，有效提升了网络的安全性。

Description

一种WIA-PA工业无线网络中移动设备入网认证机制

技术领域

本发明属于工业无线网络技术领域，涉及一种WIA-PA工业无线网络中移动设备入网认证机制。

背景技术

工业无线网络WIA(WirelessNetworksforIndustrialAutomation)技术是我国具有自主知识产权的高可靠、超低功耗的智能多跳无线传感器网络技术，该技术提供一种自组织、自治愈的智能路由机制，能够针对应用条件和环境的动态变化，保持网络性能的高可靠性和强稳定性。WIA-PA(WirelessNetworksforIndustrialAutomationProcessAutomation)标准是WIA子标准，用于工业过程测量、监视与控制的无线网络系统，目前WIA-PA标准已形成国家标准。

近年来，在工业物联网逐步应用的背景下，传统的固定节点已经不能满足工业应用的需求，工业物联网对移动性的支持迫在眉睫。大量移动设备如手持抄表设备、现场可移动冷风机、手持巡检设备、移动加湿器等进入面向智能制造领域的工业无线网络。

基于WIA-PA工业无线网络的应用场景不断增加，如基于WIA-PA的智能抄表系统。在该智能抄表系统中需要使用移动设备进行抄表，移动设备进行抄表的同时伴随着移动设备的多次重复入网问题。

移动设备的特点为：具有移动性，在网络中移动和运行时，会根据所处的位置，从不同的接入点反复入网。传统的工业无线网络对待移动设备的重复入网，没有特别的方法。如WIA-PA工业无线网络中，移动设备一旦离开一个子网，再次加入一个新的子网时候，需要执行相同的入网过程。

目前，WIA-PA工业无线网络中安全认证机制主要存在以下不足：1)移动设备在每次入网时，需要执行相同的入网认证过程，该过程需要移动设备与工业无线网络的安全管理者进行多次交互，特别是移动设备在网络中移动频繁时，网络资源开销大。2)移动设备在第一次加入网络时，一般通过预配置的密钥生成用于认证的安全认证码；传统方法中，移动设备在离开网络后，对预配置密钥并不进行更新，之后每次入网一般都采用相同的预配置密钥生成相同的认证码，易受到攻击。

发明内容

有鉴于此，本发明的目的在于提供一种WIA-PA工业无线网络中移动设备入网认证机制，该机制能够解决WIA-PA标准中对移动设备重复入网认证机制存在的不足。

为达到上述目的，本发明提供如下技术方案：

一种WIA-PA工业无线网络中移动设备入网认证机制，在该认证过程中涉及的WIA-PA工业无线网络设备包括：网关设备、路由设备、现场设备和移动设备；

该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证；移动设备第一次入网认证包含Ticket_net和Ticket_mobile的处理和入网认证，移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。

进一步，所述移动设备第一次入网认证包括：移动设备在网关设备处认证，认证成功后，网关设备中网络管理者保存该移动设备的认证ID，此认证ID是设备长地址；网关设备中安全管理者生成Ticket_net和Ticket_mobile，分发Ticket_net给在网所有路由设备，分发Ticket_mobile给该移动设备。

进一步，移动设备认证成功后，Ticket_mobile封装到加入成功响应中，移动设备收到加入成功响应后成功入网并获取Ticket_mobile，加入成功响应命令包格式如下表：

14字节	1字节	1字节	2字节	24字节
					网络层包头	命令标识符＝35	执行结果	待加入设备短地址	Ticketmobile

其中加入成功响应命令包的命令标识符为35，如果加入成功，则执行结果返回“SUCCESS”，待加入移动设备短地址子域值、Ticket_mobile有效；如果加入失败，则执行结果返回“FAILURE”，待加入移动设备短地址子域值、Ticket_mobile无效。

进一步，所述Ticket_net和Ticket_mobile的处理包含Ticket_net和Ticket_mobile的生成、Ticket_net和Ticket_mobile的分发、Ticket_net和Ticket_mobile的存储与Ticket_net和Ticket_mobile的更新。

进一步，Ticket_net中加密密文为认证ID加密后的密文，其长度为8字节，Ticket_mobile中Key为Ticket_net中加密算法的密钥，长度为16字节；Ticket_net和Ticket_mobile分发:在WIA-PA工业无线网络中，路由设备在网关设备处入网时，网关设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点；路由设备于在网路由设备处入网时，在网路由设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点。网关设备查询父子节点关系信息表，并发送Ticket_net分发命令包给所有子节点路由设备，相应路由设备收到Ticket_net分发命令包并保存Ticket_net后，继续查询自身存储的父子节点关系信息表，将Ticket_net发送给父子节点关系信息表中的所有子节点路由设备，以此进行Ticket_net的分发。

Ticket_net分发命令包用于路由设备/网关设备分发Ticket_net，Ticket_net分发命令包格式如下表：

14字节	1字节	8字节
			网络层包头	命令标识符＝33	Ticketnet

其中Ticket_net转发命令包命令标识符为33；Ticket_net采用缓存机制，缓存于在网路由设备和网关设备，Ticket_mobile在移动设备中固定存储；提供四种Ticket_net和Ticket_mobile的更新模式，用户根据实际情况自选更新模式，更新模式1为移动设备在第一次离开网络的时间为t₁，经过一段时间t后，Ticket_net自动更新到Ticket_net1，同时Ticket_mobile自动更新到对应的Ticket_mobile1，后续更新重复该过程，更新模式2为移动设备重复入网g次以后，在第g+1次入网时，安全管理者生成新的Ticket_net和Ticket_mobile，再次执行Ticket_net和Ticket_mobile的转发过程，更新模式3为设立Ticket_net和Ticket_mobile最大存活时间T，超过最大存活时间T后，WIA-PA网络中的路由设备和网关设备自动清除缓存中Ticket_net，移动设备同时清除Ticket_mobile；在下一次入网时，采用移动设备第一次入网认证过程，更新模式4为对Ticket_net和Ticket_mobile不更新。

进一步，所述移动设备第k(k≥2)次重复入网认证包括：待入网的移动设备发送Ticket_mobile给路由设备，路由设备根据Ticket_mobile解密Ticket_net得认证信息，并比对认证信息是否一致，若一致则移动设备获得链路资源，接入网络，然后，路由设备将解密后的认证信息转发给网关设备中安全管理者，安全管理者再次认证该认证信息；若认证失败，则断开移动设备，若认证成功，网关设备中网络管理者给移动设备分配相应的权限。

进一步，在移动设备第k(k≥2)次重复入网过程中，定义了两种命令包，即移动设备再次加入请求命令包和设备再认证请求命令包格；移动设备再次加入请求命令包用于移动设备发送再次加入请求，移动设备再次加入请求命令包格式如下表：

14字节	1字节	24字节
			网络层包头	命令标识符＝34	Ticketmobile

其中移动设备再次加入请求命令包的命令标识符为34；

设备再认证请求包用于路由设备转发设备再认证请求，设备再认证请求命令包格式如下表：

14字节	1字节	8字节
			网络层包头	命令标识符＝32	解密后的认证ID

其中设备再认证请求命令包的命令标识符为32，解密后的认证ID用于安全管理者的认证。

本发明的有益效果在于：1)提升了WIA-PA工业无线网络中已认证移动设备再入网认证的有效性，减少了移动设备再入网认证的报文交互次数及网络资源开销；2)将移动设备再入网认证的认证码由静态变为用户可选的动态变化模式，对可能的重放攻击等进行有效防御，有效提升了网络的安全性。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为移动设备在WIA-PA网络中移动的网络参考模型；

图2为移动设备第一次加入WIA-PA网络过程图；

图3为Ticket_net和Ticket_mobile格式；

图4为Ticket_net和Ticket_mobile的分发模型；

图5为移动设备第k(k≥2)次重复入网过程图；

图6为WIA-PA标准中移动设备安全加入网络时序图。

具体实施方式

本发明提供了一种WIA-PA工业无线网络中移动设备入网认证机制，涉及的WIA-PA工业无线网络设备有：网关设备、路由设备、现场设备和移动设备；WIA-PA工业无线网络中移动设备入网认证机制提升了已认证移动设备再入网认证的有效性，减少移动设备再入网认证的报文交互次数，减少网络资源开销；移动设备再入网认证的认证码由静态变为用户可选的动态变化模式，对可能的重放攻击等进行有效防御，有效提升网络的安全性；WIA-PA工业无线网络中移动设备入网认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证；移动设备第一次入网认证包含Ticket_net和Ticket_mobile的处理和入网认证，移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。

下面将结合附图，对本发明的优选实施例进行详细的描述。

图1为移动设备在WIA-PA网络中移动的网络参考模型，如图1所示，本发明涉及的WIA-PA工业无线网络的网络设备有：网关设备、路由设备、现场设备和移动设备。

网关设备：负责WIA-PA网络与其他网络的协议转换与数据映射，同时在网关设备内开发网络管理者(NetworkManager，NM)和安全管理者(SecurityManager，SM)，其中网络管理者用于管理和监测全网，安全管理者用于网关设备、路由设备、现场设备和移动设备的密钥管理与安全认证，详细的功能介绍如表1所示。

表1网关设备功能介绍

路由设备(簇首)：管理和监测现场设备和移动设备；负责安全地聚合及转发簇成员和其他簇首的数据；簇首主要负责完成的管理功能如表2。

表2路由设备管理功能介绍

现场设备(簇成员)：负责获取现场数据并发送到簇首。

移动设备(簇成员)：负责移动采集工业现场数据，将采集的获取的数据经过网状网络发送到网关设备；负责现场采集数据并进行数据分析，做出适合当前需求的响应并将执行结果反馈到主控计算机；负责为操作人员提供直接的数据信息。

1、移动设备第一入网认证

移动设备第一次加入WIA-PA网络的过程如图2所示。移动设备第一次加入WIA-PA工业无线网络时需要经历如下步骤：

(1)在新移动设备加入WIA-PA网络之前，手持配置设备读取新移动设备的64位长地址，并将该地址传给安全管理者。安全管理者为该新移动设备生成加入密钥KJ(JoinKey)。手持配置设备将该KJ传给该新移动设备。

(2)具有KJ的新移动设备持续监听网络内的可用信道以获得在网的路由设备发出的信标。

(3)新移动设备选择一个发出信标的路由设备或网关设备作为簇首，根据信标内的时间信息完成时间同步。

(4)新移动设备利用设备的长地址和KJ生成安全信息，并将安全信息发送给簇首。簇首发送加入安全请求给该移动设备，移动设备收到请求后，发送安全加入响应给簇首。然后，簇首为该新移动设备发出一个带其安全信息的加入请求给NM。

(5)网络管理者接收到加入请求后，将新移动设备的安全信息传送给安全管理者。安全管理者认证该新移动设备的安全信息。如果认证失败，则网络管理者返回加入失败响应，断开连接。如果认证成功，网络管理者保存该移动设备的认证ID，安全管理者生成Ticket_net和Ticket_mobile，网络管理者返回加入成功响应。

安全管理者对Ticket_net和Ticket_mobile进行管理，管理包含Ticket_net和Ticket_mobile的生成、Ticket_net和Ticket_mobile的分发、Ticket_net和Ticket_mobile的存储与Ticket_net和Ticket_mobile的更新。

1)Ticket_net和Ticket_mobile的生成

图3所示为Ticket_net和Ticket_mobile格式，Ticket_net和Ticket_mobile由安全管理者生成。认证ID为移动设备长地址，WIA-PA工业无线网络中移动设备有一个全球惟一的64位长地址，长地址由厂商按照EUI-64分配并设置。

Ticket_net中，加密密文为对认证ID加密后的密文，其长度为8字节。Ticket_mobile中，加密密钥Key为Ticket_net中对认证ID加密的加密密钥，长度为16字节。

2)Ticket_net和Ticket_mobile的分发

Ticket_net和Ticket_mobile的分发模型如图4，Ticket_net和Ticket_mobile的分发过程如下：

A)移动设备被认证成功后，网络管理者返回加入成功响应，加入成功响应命令包格式如表3：

表3加入成功响应命令包格式

14字节	1字节	1字节	2字节	24字节
					网络层包头	命令标识符＝35	执行结果	待加入设备短地址	Ticketmobile

其中加入成功响应命令包的命令标识符为35。如果加入成功，则执行结果返回“SUCCESS”，待加入移动设备短地址子域值、Ticket_mobile有效；如果加入失败，则执行结果返回“FAILURE”，待加入移动设备短地址子域值、Ticket_mobile无效。本命令包为非分段包，网络层包头字节数为14字节；

B)加入成功响应经过B、F路由设备到移动设备，移动设备收到加入成功响应后成功加入网络并获取Ticket_mobile；

C)WIA-PA工业无线网络中，路由设备在网关设备处入网时，网关设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点；路由设备于在网路由设备处入网时，在网路由设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点。网络管理者查询网关设备中的父子节点关系信息表，并依据查询信息发送Ticket_net分发命令包给父子节点关系信息表中所有的路由设备，Ticket_net分发命令包用于路由设备/网关设备分发Ticket_net，Ticket_net分发命令包格式如表4：

表4Ticket_net分发命令包格式

14字节	1字节	8字节
			网络层包头	命令标识符＝33	Ticketnet

其中Ticket_net分发命令包命令标识符为33。本命令包为非分段包，网络层包头字节数为14字节。

相应路由设备收到Ticket_net分发命令包并保存Ticket_net后，继续查询自身存储的父子节点关系信息表，并依据查询信息将Ticket_net发送给父子节点关系信息表中所有的路由设备，以此进行Ticket_net的分发。Ticket_net以上述分发方式在网络中的分发次数为n次。

Ticket_net分发的具体方法如下：该网络组网时，路由设备A、B和C在网关设备处入网，路由设备G在路由设备A处入网，路由设备F在路由设备B处入网，路由设备E和D在路由设备C处入网。网关设备在父子节点关系信息表中备查询在网关设备处入网的路由设备，查询得到路由设备A、B和C，发送Ticket_net分发命令包给路由设备A、B和C，路由设备A、B和C收到Ticket_net分发命令包并保存Ticket_net。路由设备A查询自身父子节点关系信息表得到路由设备G，发送Ticket_net分发命令包给路由设备G，路由设备G收到Ticket_net分发命令包并保存Ticket_net；路由设备B查询自身父子节点关系信息表得到路由设备F，发送Ticket_net分发命令包给路由设备F，路由设备F收到Ticket_net分发命令包并保存Ticket_net；路由设备C查询自身父子节点关系信息表得到路由设备D和E，发送Ticket_net分发命令包给路由设备D和E，路由设备D和E收到Ticket_net分发命令包并保存Ticket_net，分发路径如图4所示。

若有新的路由设备加入网络，则在新路由设备加入网络过程中，其选定的簇首为其分发Ticket_net。

3)Ticket_net和Ticket_mobile的存储

Ticket_net缓存于在网路由设备和网关设备，Ticket_mobile固定存储于移动设备。

4)Ticket_net和Ticket_mobile的更新

本技术方案提供四种Ticket_net和Ticket_mobile的更新模式，用户根据实际情况自选更新模式：

更新模式1：记移动设备在第一次离开网络的时间为t₁，经过一段时间t后，Ticket_net自动更新到Ticket_net1，同时Ticket_mobile自动更新到对应的Ticket_mobile1。后续更新重复该过程。

更新模式2：在移动设备重复入网g次以后，其中g的取值依据网络规模而选定，在第g+1次入网时，安全管理者生成新的Ticket_net和Ticket_mobile，再次执行Ticket_net和Ticket_mobile的分发过程。

更新模式3：设定Ticket_net和Ticket_mobile最大存活时间T，超过最大存活时间T后，WIA-PA网络中的路由设备和网关设备自动清除Ticket_net，移动设备同时清除Ticket_mobile。移动设备在下一次入网时，采用移动设备第一次入网过程入网。

更新模式4：对Ticket_net和Ticket_mobile不更新。

本技术方案中报文分析中采用了更新模式4。

(6)移动设备收到加入成功响应后成功加入网络并获取Ticket_mobile。

(7)采用Ticket_net的分发过程将Ticket_net发送到所有在网路由设备，在网路由设备缓存Ticket_net。

2、移动设备第k(k≥2)次重复入网过程

移动设备第k(k≥2)次重复入网过程如图5所示，移动设备第k(k≥2)次重复入网需要经历如下步骤：

(1)移动设备持续监听网络内的可用信道，获得在网路由设备或者网关设备发出的信标；

(2)移动设备选择发出信标的其中一个路由设备或者网关设备作为簇首，根据信标内的时间信息完成时间同步；

(3)移动设备向选定的簇首发出移动设备再次加入请求，移动设备再次加入请求命令包用于移动设备重复入网时发送加入请求，移动设备再次加入请求命令包格式定义如表5：

表5移动设备再次加入请求命令包格式

14字节	1字节	24字节
			网络层包头	命令标识符＝34	Ticketmobile

其中，移动设备再次加入请求的命令标识符为34。本命令包为非分段包，网络层包头字节数为14字节；

(4)收到移动设备再次加入请求后，簇首根据Ticket_mobile中的Key解密Ticket_net得到认证ID并与Ticket_mobile中的认证ID进行比对，若不相同，拒绝入网，若相同，则预先分配链路资源，接入网络，并发送设备再认证请求给网络管理者，设备再认证请求命令包用于路由设备转发设备再认证请求，设备再认证请求命令包格式定义如表6：

表6设备再认证请求命令包格式

14字节	1字节	8字节
			网络层包头	命令标识符＝32	解密后的认证ID

其中，设备再认证请求命令包的命令标识符为32。解密后的认证ID用于安全管理者的认证。本命令包为非分段包，网络层包头字节数为14字节；

(5)网络管理者收到设备再认证请求后转发给安全管理者；

(6)安全管理者收到设备再认证请求后获取认证ID，将此认证ID与网络管理者存储的认证ID进行比对，若相同，则通知网络管理者利用远程读属性服务读UAO(UserApplicationObject，用户应用对象)的请求，若不同，则不做任何响应。

(7)簇首等待网络管理者利用远程读属性服务读UAO(UserApplicationObject，用户应用对象)的请求，若在一段时间后未收到该请求，则主动断开该移动设备；若在一段时间后收到该请求，则安全管理者分配相应的权限给该移动设备。

3、移动设备入网过程报文开销分析

移动设备入网过程报文开销分析分为三部分：第一部分为WIA-PA标准中移动设备入网报文开销；第二部分为本技术方案中WIA-PA移动设备入网认证机制报文开销；第三部分为报文开销对比与分析。

(1)WIA-PA标准中移动设备入网报文开销

图6为WIA-PA标准中移动设备安全加入网络时序图。

参考WIA-PA标准可得表7：

表7WIA-PA标准中定义的包字节数

包类型	字节数(字节)
		加入请求命令包	28
加入响应命令包	26
		ACK	5

移动设备第一次入网总报文开销为A字节，加入请求过程中需要的加入请求命令包、加入响应命令包和ACK在网络中转发的次数为m₁次，则

A＝(28+5+26)×2+m₁(28+26+5+5)＝118+64m₁

移动设备k次入网总报文开销为x字节(WIA-PA标准中移动设备安全入网中配置阶段的交互的报文数与本技术方案中移动设备第一次入网中配置阶段交互报文数相等，故此处不做计算)，第i次入网时，命令包在网络中转发次数为m_i，则

(2)本技术方案中移动设备入网认证机制报文开销

根据本技术方案中定义的命令包整理可得表8：

表8本技术方案中定义的命令包的字节数

命令包类型	字节数(字节)
		移动设备再次加入请求命令包	39
设备再认证请求命令包	23
		加入成功响应命令包	42
Ticketnet转发命令包	23

本技术方案中移动设备加入请求和移动设备再次加入请求与WIA-PA标准中移动设备加入请求转发在网络中转发次数对应相等。

根据图2和图5所描述的移动设备入网过程可以得到：本技术方案中移动设备第一次入网报文总开销为B字节(WIA-PA标准中移动设备安全入网中配置阶段的交互的报文数与本技术方案中移动设备第一次入网中配置阶段交互报文数相等，故此处不做计算)，加入请求命令包、加入成功响应命令包和ACK在网状网络中转发的次数为m₁次，在网路由设备数为n(其中n为在网路由设备数，在网络布置好以后n一般为定值)，则

B＝(28+26+5)×2+(28+42+5×2)m₁＝118+80m₁

Ticket_net分发的报文开销C字节，由Ticket_net的分发过程可得Ticket_net在网络中分发次数为n次，则C＝23n。本技术方案中移动设备第二次入网的报文开销为D字节，则D＝39+23m₂。

本技术方案中移动设备k次重复入网报文总开销为y字节，第i次入网时，命令包在网络中转发次数为m_i，则

$y=118+80m_1+23n+23\underset{i=2}{\overset{k}{\Σ}}{m}_i+39(k-1)=23\underset{i=2}{\overset{k}{\Σ}}{m}_i+39k+79+80m_1+23n$

(3)报文开销对比与分析

本技术方案中移动设备入网认证与WIA-PA标准中移动设备入网认证报文开销对比如表9所示。

表9报文开销对比

令Y为WIA-PA标准中移动设备入网报文开销与本技术方案中移动设备入网报文开销之差，即：Y＝x-y，则

$\begin{array}{c}Y=118k+64\underset{i=1}{\overset{k}{\Σ}}{m}_i-(23\underset{i=2}{\overset{k}{\Σ}}{m}_i+39k+79+80m_1+23n)\\ =41\underset{i=2}{\overset{k}{\Σ}}{m}_i+79(k-1)-16m_1-23n\end{array}$

因为m_i≥1(i≥2)，可得：

$Y=41\underset{i=2}{\overset{k}{\Σ}}{m}_i+79(k-1)-16m_1-23n\≥41(k-1)+79(k-1)-16m_1-23n=120k-120-16m_1-23n$

令X＝120k-120-16m₁-23n，则Y≥X。当X≥0时可得Y≥0，即本技术方案中移动设备入网认证机制的入网报文开销比WIA-PA标准中移动设备入网认证机制报文开销少，即X＝120k-120-16m₁-23n≥0，可得

即当时，本技术方案中移动设备入网认证机制的入网报文开销比WIA-PA标准中移动设备入网认证机制报文开销少。

以图1中所述移动设备在WIA-PA网络中移动的网络参考模型进行分析，从图1中可以得到：m₁的值为2，若m_i的值为1，则：

$k\≥\frac{120+16m_1+23n}{120}=\frac{120+16\×2+23\×7}{120}=\frac{313}{120}$

因为k为自然数，故当k≥3时，Y＞0，则本技术方案中移动设备入网认证机制的报文开销比WIA-PA标准中移动设备入网认证机制的报文开销少。Y随k增加而线性增加，则随着k值的增加(即重复入网次数的增加)，本技术方案中移动设备入网认证机制相对于WIA-PA标准中移动设备入网认证机制的优势会进一步的增大。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims (7)

1.一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：在该认证过程中涉及的WIA-PA工业无线网络设备包括：网关设备、路由设备、现场设备和移动设备；

该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证；移动设备第一次入网认证包含Ticket_net(网络中的票据)和Ticket_mobile(移动设备中的票据)的处理和入网认证，移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。

2.根据权利要求1所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：所述移动设备第一次入网认证包括：移动设备在网关设备处认证，认证成功后，网关设备中网络管理者保存该移动设备的认证ID；网关设备中安全管理者生成Ticket_net和Ticket_mobile，分发Ticket_net给在网所有路由设备，分发Ticket_mobile给该移动设备。

3.根据权利要求1所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：所述移动设备第k(k≥2)次重复入网认证包括：待入网的移动设备发送Ticket_mobile给路由设备，路由设备根据Ticket_mobile解密Ticket_net得认证信息，并比对认证信息是否一致，若一致则移动设备获得链路资源，接入网络，然后，路由设备将解密后的认证信息转发给网关设备中安全管理者，安全管理者再次认证该认证信息；若认证失败，则断开移动设备，若认证成功，网关设备中网络管理者给移动设备分配相应的权限。

4.根据权利要求2所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：移动设备认证成功后，Ticket_mobile封装到加入成功响应中，移动设备收到加入成功响应后成功入网并获取Ticket_mobile，加入成功响应命令包格式如下表：

14字节 1字节 1字节 2字节 24字节 网络层包头 命令标识符＝35 执行结果 待加入设备短地址 Ticket_mobile

其中加入成功响应命令包的命令标识符为35，如果加入成功，则执行结果返回“SUCCESS”，待加入移动设备短地址子域值、Ticket_mobile有效；如果加入失败，则执行结果返回“FAILURE”，待加入移动设备短地址子域值、Ticket_mobile无效。

5.根据权利要求4所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：所述Ticket_net和Ticket_mobile的处理包含Ticket_net和Ticket_mobile的生成、Ticket_net和Ticket_mobile的转发、Ticket_net和Ticket_mobile的存储与Ticket_net和Ticket_mobile的更新。

6.根据权利要求5所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：Ticket_net中加密密文为对认证ID加密后的密文，其长度为8字节，Ticket_mobile中Key为Ticket_net中加密算法的密钥，长度为16字节；Ticket_net和Ticket_mobile分发，在WIA-PA工业无线网络中，路由设备在网关设备处入网时，网关设备作为父节点在父子节点关系信息表中记录待入网路由设备为子节点；路由设备于在网路由设备处入网时，在网路由设备在父子节点关系信息表中记录待入网路由设备为子节点；网络管理者查询网关设备中的父子节点关系信息表，并依据查询信息发送Ticket_net分发命令包给其所有子节点路由设备，相应路由设备收到Ticket_net分发命令包并保存Ticket_net后，继续查询自身存储的父子节点关系信息表，并依据查询信息将Ticket_net发送给父子节点关系信息表中的所有子节点路由设备，以此进行Ticket_net的分发；Ticket_net分发命令包用于路由设备/网关设备分发Ticket_net，Ticket_net分发命令包格式如下表：

14字节 1字节 8字节 网络层包头 命令标识符＝33 Ticket_net

其中Ticket_net转发命令包命令标识符为33；Ticket_net采用缓存机制，缓存于在网路由设备和网关设备，Ticket_mobile在移动设备中固定存储；提供四种Ticket_net和Ticket_mobile的更新模式，用户根据实际情况自选更新模式，更新模式1为移动设备在第一次离开网络的时间为t₁，经过一段时间t后，Ticket_net自动更新到Ticket_net1，同时Ticket_mobile自动更新到对应的Ticket_mobile1，后续更新重复该过程，更新模式2为移动设备重复入网g次以后，在第g+1次入网时，安全管理者生成新的Ticket_net和Ticket_mobile，再次执行Ticket_net和Ticket_mobile的转发过程，更新模式3为设立Ticket_net和Ticket_mobile最大存活时间T，超过最大存活时间T后，WIA-PA网络中的路由设备和网关设备自动清除缓存中Ticket_net，移动设备同时清除Ticket_mobile；在下一次入网时，采用移动设备第一次入网认证过程，更新模式4为对Ticket_net和Ticket_mobile不更新。

7.根据权利要求3所述的一种WIA-PA工业无线网络中移动设备入网认证机制，其特征在于：在移动设备第k(k≥2)次重复入网过程中，定义了两种命令包，即移动设备再次加入请求命令包和设备再认证请求命令包；移动设备再次加入请求命令包用于移动设备发送再次加入请求，移动设备再次加入请求命令包格式如下表：

14字节 1字节 24字节 网络层包头 命令标识符＝34 Ticket_mobile

其中移动设备再次加入请求命令包的命令标识符为34；

设备再认证请求包用于路由设备转发设备再认证请求，设备再认证请求命令包格式如下表：

14字节 1字节 8字节 网络层包头 命令标识符＝32 解密后的认证ID

其中设备再认证请求命令包的命令标识符为32，解密后的认证ID用于安全管理者的认证。